一场名为“ShadowCaptcha”的复杂全球网络犯罪活动已成为对全球组织的重大威胁,它利用虚假的 Google 和 Cloudflare 验证码页面诱骗受害者执行恶意命令。
以色列国家数字局的研究人员于 2025 年 8 月发现了这一大规模行动,该行动已经活跃了至少一年,利用数百个受感染的 WordPress 网站来传递多阶段恶意软件有效负载。
该活动采用了一种称为 ClickFix 的欺骗性技术,攻击者将恶意 JavaScript 注入受感染的 WordPress 网站,将用户重定向到攻击者控制的托管虚假验证码验证页面的基础设施。
这些设计令人信服的页面模仿合法的 Cloudflare 或 Google 安全检查,提示毫无戒心的用户以完成安全验证过程为幌子复制和执行 PowerShell 命令。
回顾性分析揭示了该活动的广泛影响,超过 100 个受感染的 WordPress 网站作为初始感染媒介,数百个恶意软件样本跨越多个系列和变体。
Gov.li 分析师确定了该活动的机会主义性质,针对所有行业的组织,无论规模或垂直行业如何。
该攻击通过复杂的多阶段交付机制进行,该机制将社会工程与离地二进制文件 (LOLBins) 相结合,以在逃避检测的同时保持持久性。
一旦受害者执行伪装的恶意命令,恶意软件就会在目标系统中站稳脚跟并继续实现其主要目标。
多方面的货币化策略
ShadowCaptcha 的感染机制在其货币化方法中表现出显着的多功能性。
该恶意软件侧重于三个主要收入来源:凭据收集和浏览器数据泄露以进行身份盗窃、部署加密货币矿工以从受感染的系统中产生非法利润,以及潜在的勒索软件部署以获得即时经济利益。
这种多管齐下的策略最大限度地提高了攻击者的投资回报,同时对受感染的网络造成持续的未经授权的访问。
该活动能够根据系统特征和安全态势调整其有效负载,这使得它特别危险,因为它可以在不同的攻击模式之间切换以避免检测,同时保持对宝贵公司资源的持续访问。
